bezpieczeństwo serwerów hasła - aruba cloud · bezpieczeństwo aplikacji www bezpieczeństwo...
TRANSCRIPT
![Page 1: Bezpieczeństwo serwerów Hasła - Aruba Cloud · Bezpieczeństwo aplikacji WWW Bezpieczeństwo aplikacji mobilnych-10% Obowiązuje 10 dni Hasło: 3d92b6f0 Szkolenia – rabat. Dziękuję](https://reader033.vdocuments.site/reader033/viewer/2022051814/6035162b7b216d30613ab4e0/html5/thumbnails/1.jpg)
Bezpieczeństwo serwerów
Hasła
Borys Łącki
28.02.2017
![Page 2: Bezpieczeństwo serwerów Hasła - Aruba Cloud · Bezpieczeństwo aplikacji WWW Bezpieczeństwo aplikacji mobilnych-10% Obowiązuje 10 dni Hasło: 3d92b6f0 Szkolenia – rabat. Dziękuję](https://reader033.vdocuments.site/reader033/viewer/2022051814/6035162b7b216d30613ab4e0/html5/thumbnails/2.jpg)
Od ponad 10 lat wykonując testy penetracyjne, testujemy bezpieczeństwo i zabezpieczamy
zasoby Klientów.
Borys Łącki
![Page 3: Bezpieczeństwo serwerów Hasła - Aruba Cloud · Bezpieczeństwo aplikacji WWW Bezpieczeństwo aplikacji mobilnych-10% Obowiązuje 10 dni Hasło: 3d92b6f0 Szkolenia – rabat. Dziękuję](https://reader033.vdocuments.site/reader033/viewer/2022051814/6035162b7b216d30613ab4e0/html5/thumbnails/3.jpg)
Agenda
1) Incydenty komputerowe
2) Ataki na hasła: online, offline
3) Bezpieczne hasło, menadżery haseł
4) DEMO: ataki online
5) DEMO: atak offline
6) Podsumowanie
7) Sesja pytań od uczestników
![Page 4: Bezpieczeństwo serwerów Hasła - Aruba Cloud · Bezpieczeństwo aplikacji WWW Bezpieczeństwo aplikacji mobilnych-10% Obowiązuje 10 dni Hasło: 3d92b6f0 Szkolenia – rabat. Dziękuję](https://reader033.vdocuments.site/reader033/viewer/2022051814/6035162b7b216d30613ab4e0/html5/thumbnails/4.jpg)
Nasza perspektywa
● Test penetracyjny – „proces polegający na przeprowadzeniu kontrolowanego ataku na system teleinformatyczny, mający na celu praktyczną ocenę bieżącego stanu bezpieczeństwa (...)”
Wikipedia
![Page 5: Bezpieczeństwo serwerów Hasła - Aruba Cloud · Bezpieczeństwo aplikacji WWW Bezpieczeństwo aplikacji mobilnych-10% Obowiązuje 10 dni Hasło: 3d92b6f0 Szkolenia – rabat. Dziękuję](https://reader033.vdocuments.site/reader033/viewer/2022051814/6035162b7b216d30613ab4e0/html5/thumbnails/5.jpg)
Testy penetracyjne
![Page 6: Bezpieczeństwo serwerów Hasła - Aruba Cloud · Bezpieczeństwo aplikacji WWW Bezpieczeństwo aplikacji mobilnych-10% Obowiązuje 10 dni Hasło: 3d92b6f0 Szkolenia – rabat. Dziękuję](https://reader033.vdocuments.site/reader033/viewer/2022051814/6035162b7b216d30613ab4e0/html5/thumbnails/6.jpg)
PHISHING ~ 60%
Testy penetracyjne
![Page 7: Bezpieczeństwo serwerów Hasła - Aruba Cloud · Bezpieczeństwo aplikacji WWW Bezpieczeństwo aplikacji mobilnych-10% Obowiązuje 10 dni Hasło: 3d92b6f0 Szkolenia – rabat. Dziękuję](https://reader033.vdocuments.site/reader033/viewer/2022051814/6035162b7b216d30613ab4e0/html5/thumbnails/7.jpg)
Podatności
![Page 8: Bezpieczeństwo serwerów Hasła - Aruba Cloud · Bezpieczeństwo aplikacji WWW Bezpieczeństwo aplikacji mobilnych-10% Obowiązuje 10 dni Hasło: 3d92b6f0 Szkolenia – rabat. Dziękuję](https://reader033.vdocuments.site/reader033/viewer/2022051814/6035162b7b216d30613ab4e0/html5/thumbnails/8.jpg)
Asymetrie i motywacje
![Page 9: Bezpieczeństwo serwerów Hasła - Aruba Cloud · Bezpieczeństwo aplikacji WWW Bezpieczeństwo aplikacji mobilnych-10% Obowiązuje 10 dni Hasło: 3d92b6f0 Szkolenia – rabat. Dziękuję](https://reader033.vdocuments.site/reader033/viewer/2022051814/6035162b7b216d30613ab4e0/html5/thumbnails/9.jpg)
Hasło
Hasło – ciąg znaków stosowany powszechnie jako tajny parametr w kryptografii oraz uwierzytelnianiu.
Wikipedia
![Page 10: Bezpieczeństwo serwerów Hasła - Aruba Cloud · Bezpieczeństwo aplikacji WWW Bezpieczeństwo aplikacji mobilnych-10% Obowiązuje 10 dni Hasło: 3d92b6f0 Szkolenia – rabat. Dziękuję](https://reader033.vdocuments.site/reader033/viewer/2022051814/6035162b7b216d30613ab4e0/html5/thumbnails/10.jpg)
Hasła - 2016
![Page 11: Bezpieczeństwo serwerów Hasła - Aruba Cloud · Bezpieczeństwo aplikacji WWW Bezpieczeństwo aplikacji mobilnych-10% Obowiązuje 10 dni Hasło: 3d92b6f0 Szkolenia – rabat. Dziękuję](https://reader033.vdocuments.site/reader033/viewer/2022051814/6035162b7b216d30613ab4e0/html5/thumbnails/11.jpg)
DDoS attacks - 1.1 Tbps
Mirai Botnet
![Page 12: Bezpieczeństwo serwerów Hasła - Aruba Cloud · Bezpieczeństwo aplikacji WWW Bezpieczeństwo aplikacji mobilnych-10% Obowiązuje 10 dni Hasło: 3d92b6f0 Szkolenia – rabat. Dziękuję](https://reader033.vdocuments.site/reader033/viewer/2022051814/6035162b7b216d30613ab4e0/html5/thumbnails/12.jpg)
Kristoffer was found logging into his fathers Xbox Live account by tapping the space bar into the password field
Spacja zamiast hasła
![Page 13: Bezpieczeństwo serwerów Hasła - Aruba Cloud · Bezpieczeństwo aplikacji WWW Bezpieczeństwo aplikacji mobilnych-10% Obowiązuje 10 dni Hasło: 3d92b6f0 Szkolenia – rabat. Dziękuję](https://reader033.vdocuments.site/reader033/viewer/2022051814/6035162b7b216d30613ab4e0/html5/thumbnails/13.jpg)
5,800 ATGs were found to be exposed to the internet without a password.
Stacje benzynowe
![Page 14: Bezpieczeństwo serwerów Hasła - Aruba Cloud · Bezpieczeństwo aplikacji WWW Bezpieczeństwo aplikacji mobilnych-10% Obowiązuje 10 dni Hasło: 3d92b6f0 Szkolenia – rabat. Dziękuję](https://reader033.vdocuments.site/reader033/viewer/2022051814/6035162b7b216d30613ab4e0/html5/thumbnails/14.jpg)
TV5
![Page 15: Bezpieczeństwo serwerów Hasła - Aruba Cloud · Bezpieczeństwo aplikacji WWW Bezpieczeństwo aplikacji mobilnych-10% Obowiązuje 10 dni Hasło: 3d92b6f0 Szkolenia – rabat. Dziękuję](https://reader033.vdocuments.site/reader033/viewer/2022051814/6035162b7b216d30613ab4e0/html5/thumbnails/15.jpg)
Syria, Korea Północna
![Page 16: Bezpieczeństwo serwerów Hasła - Aruba Cloud · Bezpieczeństwo aplikacji WWW Bezpieczeństwo aplikacji mobilnych-10% Obowiązuje 10 dni Hasło: 3d92b6f0 Szkolenia – rabat. Dziękuję](https://reader033.vdocuments.site/reader033/viewer/2022051814/6035162b7b216d30613ab4e0/html5/thumbnails/16.jpg)
Philips Lighting Poland
![Page 17: Bezpieczeństwo serwerów Hasła - Aruba Cloud · Bezpieczeństwo aplikacji WWW Bezpieczeństwo aplikacji mobilnych-10% Obowiązuje 10 dni Hasło: 3d92b6f0 Szkolenia – rabat. Dziękuję](https://reader033.vdocuments.site/reader033/viewer/2022051814/6035162b7b216d30613ab4e0/html5/thumbnails/17.jpg)
Donald Tusk
![Page 18: Bezpieczeństwo serwerów Hasła - Aruba Cloud · Bezpieczeństwo aplikacji WWW Bezpieczeństwo aplikacji mobilnych-10% Obowiązuje 10 dni Hasło: 3d92b6f0 Szkolenia – rabat. Dziękuję](https://reader033.vdocuments.site/reader033/viewer/2022051814/6035162b7b216d30613ab4e0/html5/thumbnails/18.jpg)
Ewa Kopacz
![Page 19: Bezpieczeństwo serwerów Hasła - Aruba Cloud · Bezpieczeństwo aplikacji WWW Bezpieczeństwo aplikacji mobilnych-10% Obowiązuje 10 dni Hasło: 3d92b6f0 Szkolenia – rabat. Dziękuję](https://reader033.vdocuments.site/reader033/viewer/2022051814/6035162b7b216d30613ab4e0/html5/thumbnails/19.jpg)
00:32 <@patient> mamy premier.gov.pl
03:21 < GrigoriMaslov> https://www.premier.gov.pl/admin/index.php?do=side&ac=login&id=32%27%20and%201=0%20union%20select%201,uNHex%28Hex%28table_name%29%29,3,5%20FROM%20information_schema.columns--%20and%20%271%27%20=%271
03:22 < GrigoriMaslov> have phun
03:38 < GrigoriMaslov> admin:admin1
premier.gov.pl
![Page 20: Bezpieczeństwo serwerów Hasła - Aruba Cloud · Bezpieczeństwo aplikacji WWW Bezpieczeństwo aplikacji mobilnych-10% Obowiązuje 10 dni Hasło: 3d92b6f0 Szkolenia – rabat. Dziękuję](https://reader033.vdocuments.site/reader033/viewer/2022051814/6035162b7b216d30613ab4e0/html5/thumbnails/20.jpg)
Konta Allegro
![Page 21: Bezpieczeństwo serwerów Hasła - Aruba Cloud · Bezpieczeństwo aplikacji WWW Bezpieczeństwo aplikacji mobilnych-10% Obowiązuje 10 dni Hasło: 3d92b6f0 Szkolenia – rabat. Dziękuję](https://reader033.vdocuments.site/reader033/viewer/2022051814/6035162b7b216d30613ab4e0/html5/thumbnails/21.jpg)
Serwery
![Page 22: Bezpieczeństwo serwerów Hasła - Aruba Cloud · Bezpieczeństwo aplikacji WWW Bezpieczeństwo aplikacji mobilnych-10% Obowiązuje 10 dni Hasło: 3d92b6f0 Szkolenia – rabat. Dziękuję](https://reader033.vdocuments.site/reader033/viewer/2022051814/6035162b7b216d30613ab4e0/html5/thumbnails/22.jpg)
Konta E-mail
![Page 23: Bezpieczeństwo serwerów Hasła - Aruba Cloud · Bezpieczeństwo aplikacji WWW Bezpieczeństwo aplikacji mobilnych-10% Obowiązuje 10 dni Hasło: 3d92b6f0 Szkolenia – rabat. Dziękuję](https://reader033.vdocuments.site/reader033/viewer/2022051814/6035162b7b216d30613ab4e0/html5/thumbnails/23.jpg)
Konta E-mail
![Page 24: Bezpieczeństwo serwerów Hasła - Aruba Cloud · Bezpieczeństwo aplikacji WWW Bezpieczeństwo aplikacji mobilnych-10% Obowiązuje 10 dni Hasło: 3d92b6f0 Szkolenia – rabat. Dziękuję](https://reader033.vdocuments.site/reader033/viewer/2022051814/6035162b7b216d30613ab4e0/html5/thumbnails/24.jpg)
BugBounty - Snapchat
username: admin and password: research
![Page 25: Bezpieczeństwo serwerów Hasła - Aruba Cloud · Bezpieczeństwo aplikacji WWW Bezpieczeństwo aplikacji mobilnych-10% Obowiązuje 10 dni Hasło: 3d92b6f0 Szkolenia – rabat. Dziękuję](https://reader033.vdocuments.site/reader033/viewer/2022051814/6035162b7b216d30613ab4e0/html5/thumbnails/25.jpg)
BugBounty – Pornhub
![Page 26: Bezpieczeństwo serwerów Hasła - Aruba Cloud · Bezpieczeństwo aplikacji WWW Bezpieczeństwo aplikacji mobilnych-10% Obowiązuje 10 dni Hasło: 3d92b6f0 Szkolenia – rabat. Dziękuję](https://reader033.vdocuments.site/reader033/viewer/2022051814/6035162b7b216d30613ab4e0/html5/thumbnails/26.jpg)
● Proste hasła● Te same hasła● Hasła “na chwilę”
Najczęstsze problemy
![Page 27: Bezpieczeństwo serwerów Hasła - Aruba Cloud · Bezpieczeństwo aplikacji WWW Bezpieczeństwo aplikacji mobilnych-10% Obowiązuje 10 dni Hasło: 3d92b6f0 Szkolenia – rabat. Dziękuję](https://reader033.vdocuments.site/reader033/viewer/2022051814/6035162b7b216d30613ab4e0/html5/thumbnails/27.jpg)
O sile czyli skuteczności hasła decydują:
● jego długość (każdy dodatkowy znak, zwiększa jego użyteczność kilkukrotnie)● jego losowość (niezgodność ze słownikiem lub znanymi powszechnie
wyrażeniami)● rodzaj użytych znaków (litery, cyfry, znaki specjalne)
Do tego trzeba dodać starania o tajność hasła.
Skutecznośc hasła
![Page 28: Bezpieczeństwo serwerów Hasła - Aruba Cloud · Bezpieczeństwo aplikacji WWW Bezpieczeństwo aplikacji mobilnych-10% Obowiązuje 10 dni Hasło: 3d92b6f0 Szkolenia – rabat. Dziękuję](https://reader033.vdocuments.site/reader033/viewer/2022051814/6035162b7b216d30613ab4e0/html5/thumbnails/28.jpg)
Hasło „na moment”
SECURE 2016 – Łukasz Siewierski – Mój serwer jest chory!
![Page 29: Bezpieczeństwo serwerów Hasła - Aruba Cloud · Bezpieczeństwo aplikacji WWW Bezpieczeństwo aplikacji mobilnych-10% Obowiązuje 10 dni Hasło: 3d92b6f0 Szkolenia – rabat. Dziękuję](https://reader033.vdocuments.site/reader033/viewer/2022051814/6035162b7b216d30613ab4e0/html5/thumbnails/29.jpg)
Hasła są jak majtki – należy je zmieniać często, nie zostawiać na
widoku i nie pożyczać obcym.GIODO
Hasła są jak majtki
![Page 30: Bezpieczeństwo serwerów Hasła - Aruba Cloud · Bezpieczeństwo aplikacji WWW Bezpieczeństwo aplikacji mobilnych-10% Obowiązuje 10 dni Hasło: 3d92b6f0 Szkolenia – rabat. Dziękuję](https://reader033.vdocuments.site/reader033/viewer/2022051814/6035162b7b216d30613ab4e0/html5/thumbnails/30.jpg)
Password reuse
![Page 31: Bezpieczeństwo serwerów Hasła - Aruba Cloud · Bezpieczeństwo aplikacji WWW Bezpieczeństwo aplikacji mobilnych-10% Obowiązuje 10 dni Hasło: 3d92b6f0 Szkolenia – rabat. Dziękuję](https://reader033.vdocuments.site/reader033/viewer/2022051814/6035162b7b216d30613ab4e0/html5/thumbnails/31.jpg)
Narzędzia
![Page 32: Bezpieczeństwo serwerów Hasła - Aruba Cloud · Bezpieczeństwo aplikacji WWW Bezpieczeństwo aplikacji mobilnych-10% Obowiązuje 10 dni Hasło: 3d92b6f0 Szkolenia – rabat. Dziękuję](https://reader033.vdocuments.site/reader033/viewer/2022051814/6035162b7b216d30613ab4e0/html5/thumbnails/32.jpg)
Algorytmy haseł
./john .htaccess-crypt (Traditional DES [128/128 BS SSE2-16])
c/s: 2907K 19 godzin
./john .htaccess-bcrypt (OpenBSD Blowfish [32/64 X2])
c/s: 1412 > 4 lata
![Page 33: Bezpieczeństwo serwerów Hasła - Aruba Cloud · Bezpieczeństwo aplikacji WWW Bezpieczeństwo aplikacji mobilnych-10% Obowiązuje 10 dni Hasło: 3d92b6f0 Szkolenia – rabat. Dziękuję](https://reader033.vdocuments.site/reader033/viewer/2022051814/6035162b7b216d30613ab4e0/html5/thumbnails/33.jpg)
Demo
![Page 34: Bezpieczeństwo serwerów Hasła - Aruba Cloud · Bezpieczeństwo aplikacji WWW Bezpieczeństwo aplikacji mobilnych-10% Obowiązuje 10 dni Hasło: 3d92b6f0 Szkolenia – rabat. Dziękuję](https://reader033.vdocuments.site/reader033/viewer/2022051814/6035162b7b216d30613ab4e0/html5/thumbnails/34.jpg)
Tworzenie haseł
![Page 35: Bezpieczeństwo serwerów Hasła - Aruba Cloud · Bezpieczeństwo aplikacji WWW Bezpieczeństwo aplikacji mobilnych-10% Obowiązuje 10 dni Hasło: 3d92b6f0 Szkolenia – rabat. Dziękuję](https://reader033.vdocuments.site/reader033/viewer/2022051814/6035162b7b216d30613ab4e0/html5/thumbnails/35.jpg)
Tworzenie haseł
![Page 36: Bezpieczeństwo serwerów Hasła - Aruba Cloud · Bezpieczeństwo aplikacji WWW Bezpieczeństwo aplikacji mobilnych-10% Obowiązuje 10 dni Hasło: 3d92b6f0 Szkolenia – rabat. Dziękuję](https://reader033.vdocuments.site/reader033/viewer/2022051814/6035162b7b216d30613ab4e0/html5/thumbnails/36.jpg)
Menadżery haseł
![Page 37: Bezpieczeństwo serwerów Hasła - Aruba Cloud · Bezpieczeństwo aplikacji WWW Bezpieczeństwo aplikacji mobilnych-10% Obowiązuje 10 dni Hasło: 3d92b6f0 Szkolenia – rabat. Dziękuję](https://reader033.vdocuments.site/reader033/viewer/2022051814/6035162b7b216d30613ab4e0/html5/thumbnails/37.jpg)
+ skomplikowane, losowe, różne hasła
+ wygoda
- w wersji online – hasła w chmurze
- złośliwe oprogramowanie
Menadżery haseł
![Page 38: Bezpieczeństwo serwerów Hasła - Aruba Cloud · Bezpieczeństwo aplikacji WWW Bezpieczeństwo aplikacji mobilnych-10% Obowiązuje 10 dni Hasło: 3d92b6f0 Szkolenia – rabat. Dziękuję](https://reader033.vdocuments.site/reader033/viewer/2022051814/6035162b7b216d30613ab4e0/html5/thumbnails/38.jpg)
Inne rozwiązania
● 2 Factor Authentication● One Time Password● Aplikacja mobilna● Biometria● Firewall (Fail2ban, klucze)
![Page 39: Bezpieczeństwo serwerów Hasła - Aruba Cloud · Bezpieczeństwo aplikacji WWW Bezpieczeństwo aplikacji mobilnych-10% Obowiązuje 10 dni Hasło: 3d92b6f0 Szkolenia – rabat. Dziękuję](https://reader033.vdocuments.site/reader033/viewer/2022051814/6035162b7b216d30613ab4e0/html5/thumbnails/39.jpg)
Źródłahttp://www.huffingtonpost.com/entry/2016-most-common-passwords_us_587f9663e4b0c147f0bc299d
https://zaufanatrzeciastrona.pl/post/a-haslo-zapisujemy-pod-monitorem/
http://www.foxnews.com/tech/2016/06/01/teen-hacks-into-north-korean-facebook-using-password-password.html
http://www.techspot.com/news/47364-anonymous-hacks-syrian-presidents-email-reveals-weak-password.html
https://niebezpiecznik.pl/post/haslo-do-youtuba-bylo-haslem-zhackowanej-francuskiej-telewizji/
https://niebezpiecznik.pl/post/twitter-marka-zuckerberga-przejety/
https://pl.pinterest.com/pin/97671885645540424/
https://xkcd.com/936/
http://www.goodpassword.info/sila_hasla.php
http://www.giodo.gov.pl/259/id_art/7321/j/pl
https://pixabay.com/
https://www.malwaretech.com/2016/10/mapping-mirai-a-botnet-case-study.html
https://zaufanatrzeciastrona.pl/post/internet-zbiornikow-z-paliwem/
https://freedomhacker.net/2014-04-5-year-old-finds-vulnerability-in-microsoft-xbox-password-system/
![Page 40: Bezpieczeństwo serwerów Hasła - Aruba Cloud · Bezpieczeństwo aplikacji WWW Bezpieczeństwo aplikacji mobilnych-10% Obowiązuje 10 dni Hasło: 3d92b6f0 Szkolenia – rabat. Dziękuję](https://reader033.vdocuments.site/reader033/viewer/2022051814/6035162b7b216d30613ab4e0/html5/thumbnails/40.jpg)
https://z3s.pl/szkolenia/
Atak i obrona:● Bezpieczeństwo aplikacji WWW● Bezpieczeństwo aplikacji mobilnych
-10%Obowiązuje 10 dniHasło: 3d92b6f0
Szkolenia – rabat